[MS01-055] スクリプトにより Internet Explorer の Cookie データが漏洩または改ざんされる

文書翻訳 文書翻訳
文書番号: 312461 - 対象製品
この記事は、以前は次の ID で公開されていました: JP312461
すべて展開する | すべて折りたたむ

目次

現象

Internet Explorer 5.5 および 6 には、悪意のあるユーザーによって作成された特殊な URL が、ユーザーのコンピュータに格納されている Cookie に対して不正にアクセスし、場合によっては Cookie の値が変更される可能性のある脆弱性が存在します。一部の Web サイトでは、Cookie を使用して重要なデータをユーザーのコンピュータに格納しているため、この脆弱性により個人情報が漏洩する可能性もあります。

この脆弱性を利用した攻撃を実行するには、攻撃者がホストしているサイトのページにある URLを、ユーザーにクリックさせるか、または攻撃者が送信した HTML 形式の電子メール メッセージに埋め込まれた URLをユーザーにクリックさせる必要があります。ユーザーに上記の操作を行わせずに、この脆弱性を利用した攻撃を自動的に行うことはできません。

問題を緩和する要素

  • この攻撃が成功するには、最初に、ユーザーが自分から悪意のある Web サイトに訪れるように仕向けるか、または悪意のある URL が含まれている HTML 形式の電子メール メッセージを開かせ、次にその特殊な URLをクリックさせる必要があります。
  • Microsoft Outlook 電子メール セキュリティ アップデートを適用したユーザーは、HTML 形式の電子メールを利用した攻撃による影響を受けません。
  • Outlook Express の [ツール] - [オプション] の セキュリティタブにある、[制限付きサイト ゾーン] を使用するように設定したユーザーは、HTML 形式の電子メールを利用した攻撃による影響を受けません。なお、Outlook Express 6 の既定の設定ではこの設定が使用されます。

解決方法

この修正モジュールは、Cookie を使うドメインのドメインネームがアルファベット、数字、および、一部の記号 ( '-' または '. ' ) だけで構成されていることを要求します。
もし、これらの文字で構成されていないと、cookie が正常に動作しない可能性があります。

Internet Explorer 6

この問題を解決するには、Internet Explorer 6 の最新の Service Pack を入手します。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
328548 最新の Internet Explorer 6 Service Pack を入手する方法
「2001 年 12 月 13 日 Internet Explorer 用の累積的な修正プログラム」 は次の修正プログラムに含まれました。
316059 MS02-005: 2002 年 2 月 11 日 Internet Explorer の累積的な修正プログラム
「2001 年 12 月 13 日 Internet Explorer 用の累積的な修正プログラム」 は次のマイクロソフト Web サイトから入手することができます。
http://www.microsoft.com/windows/ie/downloads/critical/q313675/default.asp

Internet Explorer 5.5

マイクロソフトでは、現在この問題を修正する修正プログラムを提供中ですが、この修正プログラムはこの資料に記載されている問題の修正のみを目的としているため、攻撃されるおそれがあると判断したシステムにのみ適用してください。コンピュータの物理的なアクセス可能性、ネットワークやインターネットの接続性などの要因を評価してコンピュータの危険度を判断してください。この判断には、 マイクロソフト セキュリティ情報 が役立ちます。この修正プログラムは、製品の品質保証のために今後さらにテストを受ける場合があります。システムの危険性が高い場合は、この修正プログラムを適用することを推奨します。システムへの危険性が高くない場合、この修正プログラムが含まれる次の Internet Explorer 5.5 Service Pack がリリースされるまで待つことを推奨します。

この問題を解決するには、次の手順に従って修正プログラムをダウンロードするか、Microsoft Product Support Services にお問い合わせの上、修正プログラムを入手してください。Microsoft Product Support Services の電話番号一覧およびサポート料金については、次の Web ページを参照してください。

http://support.microsoft.com/contactus/?ws=support
: Microsoft Support Professional が、特定のアップデートを適用することにより問題が解決されると判断した場合、まれに、通常サポート依頼にかかる料金が免除されることがあります。ただし、特定のアップデートの対象とならない追加の質問および問題については、通常のサポート料金が適用されます。

「2001 年 12 月 13 日 Internet Explorer 用の累積的な修正プログラム」 は次の修正プログラムに含まれました。
316059 MS02-005: 2002 年 2 月 11 日 Internet Explorer の累積的な修正プログラム
「2001 年 12 月 13 日 Internet Explorer 用の累積的な修正プログラム」 は次のマイクロソフト Web サイトから入手することができます。
http://www.microsoft.com/windows/ie/downloads/critical/q313675/default.asp

回避策

Internet Explorer の [インターネット] および [イントラネット] ゾーンの [アクティブ スクリプト] および [Java アプレットのスクリプト] を無効にすることによって、この問題を回避することができます。脆弱性を利用した攻撃を受けないように Outlook Express の HTML 表示機能を使用するには、Outlook Express の [ツール]-[オプション] からセキュリティタブをクリックし[制限付きサイト ゾーン] を有効にします。

アクティブ スクリプトを無効にする

  1. Internet Explorer を起動します。
  2. [ツール] メニューの [インターネット オプション] をクリックします。
  3. [セキュリティ] タブの [レベルのカスタマイズ] をクリックします。
  4. [設定] ボックスの [アクティブ スクリプト] および [Java アプレットのスクリプト] をそれぞれ [無効にする] に設定します。
  5. [OK] をクリックした後、もう一度 [OK] をクリックします。
: Internet Explorer でアクティブ スクリプトを無効にしており、電子メール クライアントとして Outlook Web Access (OWA) を使用している場合、OWA のいくつかの機能を失う可能性があります。OWA の機能を完全に保持するためには Internet Explorer でアクティブ スクリプトを無効にしないでください。

Outlook Express で [制限付きサイト] を有効にする

  1. Outlook Express を起動します。
  2. [ツール] メニューの [オプション] をクリックします。
  3. [セキュリティ] タブをクリックし、[制限付きサイト ゾーン (安全性が向上します)] をクリックして、[OK] をクリックします。
: 無効に設定されたサイト、またはアクティブ スクリプト機能をオフにしたサイトを [信頼済みサイト] ゾーンに追加すると、これらの機能を再び有効にすることができます。このようにして追加したサイトには、信頼済みゾーンのセキュリティ設定が適用されます。この設定を行うには、次の手順を実行します。
  1. Internet Explorer を起動します。
  2. [ツール] メニューの [インターネット オプション] をクリックし、[セキュリティ] タブをクリックします。
  3. [信頼済みサイト] をクリックし、[サイト] をクリックします。
  4. 信頼済み Web サイトの一覧に追加する Web ページ名を入力し、[追加] をクリックします。他に一覧に追加する Web サイトごとに、この手順を繰り返します。
  5. 一覧に Web ページをすべて追加した後、[OK] を 2 回クリックします。

状況

Internet Explorer 6

マイクロソフトでは、この問題により Internet Explorer 6 のセキュリティにいくつかの脆弱性が生じる可能性を確認しています。

Internet Explorer 5.5

マイクロソフトでは、この問題により Internet Explorer 5.5 のセキュリティにいくつかの脆弱性が生じる可能性を確認しています。

この問題は Internet Explorer 6 Service Pack 1 で修正されております。

詳細

この脆弱性のその他の情報については、下記のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/technet/security/bulletin/MS01-055.mspx

プロパティ

文書番号: 312461 - 最終更新日: 2006年9月15日 - リビジョン: 2.9
この資料は以下の製品について記述したものです。
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Internet Explorer 6.0?を以下の環境でお使いの場合
    • Microsoft Windows 98 Second Edition
    • Microsoft Windows 98 Standard Edition
    • Microsoft Windows Millennium Edition
    • Microsoft Windows NT Workstation 4.0 Developer Edition
    • Microsoft Windows NT Server 4.0, Terminal Server Edition
    • Microsoft Windows NT Server 4.0 Standard Edition
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Media Center Edition
    • Microsoft Windows XP Professional
    • Microsoft Windows XP Tablet PC Edition
キーワード:?
kbbug kbfix kbsecvulnerability kbinterop kbie600presp1fix kbwin2000sp3fix kbenv kbnetwork kbsecurity kbie550presp3fix kbsechack KB312461
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com